E-health e la protezione dei dati sanitari

Legal Tech Italy

Negli ultimi tempi si sono molto diffusi i termini E-Health e Digital Health: entrambi stanno ad indicare la sanità digitale, cioè tutti gli strumenti tecnologici applicati al settore sanitario che potrebbero portare ad una rivoluzione epocale.  

Dalla telemedicina ai robot chirurgici, le tecnologie informatiche applicate al campo medico stanno assumendo un’importanza crescente a livello internazionale. Il settore della sanità digitale comprende un ampio ventaglio di applicazioni, come i servizi sanitari a distanza, cartelle cliniche digitali, applicazioni per la salute in condivisione con il medico, prescrizioni elettroniche e molte altre ancora. Questa innovazione tecnologica potrebbe rendere i servizi sanitari più accessibili e rivelarsi l’elemento in grado di salvare una sanità in crisi e sull’orlo del collasso. È pur vero, però, che ci sono molti aspetti che devono essere chiariti e regolamentati a pieno. La questione prioritaria riguarda la tracciabilità e la conservazione elettronica dei dati che, sebbene facilitino il lavoro ai medici, espongono i dati a violazioni e cyber attacchi.  

I dati sanitari sono considerati dati sensibili, ovvero rientrano in quella categoria di dati personali che richiedono una protezione maggiore. Questi, infatti, custodiscono informazioni estremamente private e delicate sulla nostra vita personale, che possono essere utilizzate in modo improprio contro di noi. I dati sensibili sono quelli che rivelano la nostra origine etnica, l’orientamento religioso, sessuale e politico, e lo stato di salute. Una violazione potrebbe portare a discriminazioni e altre conseguenze negative. Per questo motivo, il diritto alla privacy in ambito sanitario è fondamentale.  

I dati sanitari sono considerati dati sensibili, ovvero rientrano in quella categoria di dati personali che richiedono una protezione maggiore. Questi, infatti, custodiscono informazioni estremamente private e delicate sulla nostra vita personale, che possono essere utilizzate in modo improprio contro di noi. I dati sensibili sono quelli che rivelano la nostra origine etnica, l’orientamento religioso, sessuale e politico, e lo stato di salute. Una violazione potrebbe portare a discriminazioni e altre conseguenze negative. Per questo motivo, il diritto alla privacy in ambito sanitario è fondamentale.  

Regolamentazione dei dati sanitari 

La gestione dei dati è sempre stato un tema di preminente rilevanza in ambito medico – sono oggetto del segreto professionale, infatti – ma la crescente digitalizzazione, anche di questo settore, ha posto sfide maggiori e una necessità di rafforzare la regolamentazione con leggi più stringenti al fine di tutelare la privacy dei pazienti. 
A dare le risposte più esaustive è stato il GDPR, il principale punto di riferimento a livello europeo sulla protezione dei dati. Il Regolamento ha categorizzato i dati sanitari come dati soggetti a trattamento speciale e tutela rafforzata (art. 9 GDPR), in quanto in grado di rivelare dettagli molto intimi della persona. Il trattamento dei dati sanitari deve seguire i principi base dettati dal GDPR, ovvero deve essere lecito, corretto e trasparente; inoltre, i dati devono essere raccolti per finalità ben precise e in modo limitato a quel fine di cui il paziente viene informato in modo chiaro e preciso. 

Oltre al GDPR, in Italia abbiamo il Codice della privacy (D.Lgs. n. 196/2003) – integrato poi dal D.Lgs. n. 101/2018 in adeguamento con il GDPR – che disciplina in modo specifico i dati sanitari garantendo il consenso informato, il diritto di cancellazione e opposizione al trattamento dei dati. 

Altri passi avanti si stanno compiendo per regolamentare la sanità digitale. Di recente, infatti, il Parlamento e Consiglio Ue hanno approvato la proposta della Commissione di creare uno Spazio europeo dei dati sanitari (EHDS), volto a migliorare la gestione dei dati sanitari nello spazio europeo e permettere ai cittadini maggiore accessibilità e controllo sui loro dati in tutto il territorio europeo. La disciplina regolatoria è ben chiara, ma non sufficiente, perché vi sono ancora dei buchi normativi per gli spazi inesplorati che si stanno creando: prima di trovare nuove quadre regolamentari, è opportuno adottare tutte le misure necessarie per proteggere i dati sensibili.  

I dati sanitari, come è noto, sono particolarmente utili per la ricerca. Il crescente scambio di dati sensibili online aumenta il rischio di violazioni e furti. Per proteggerli, vi sono varie precauzioni che i ricercatori devono prendere. Ad esempio, lo scambio deve avvenire in modo criptato, ovvero per visualizzarli si deve inserire una password, o crittografato con algoritmi. La crittografia è fondamentale, come si evince dall’art. 32 del GDPR, anche nella telemedicina, dove si necessita di una protezione elevata. Questo sistema rende illeggibili i dati, che sono svelabili solo con una chiave di decriptazione, e ciò ne favorisce la segretezza e l’integrità.   

I dati sanitari, come è noto, sono particolarmente utili per la ricerca. Il crescente scambio di dati sensibili online aumenta il rischio di violazioni e furti. Per proteggerli, vi sono varie precauzioni che i ricercatori devono prendere. Ad esempio, lo scambio deve avvenire in modo criptato, ovvero per visualizzarli si deve inserire una password, o crittografato con algoritmi. La crittografia è fondamentale, come si evince dall’art. 32 del GDPR, anche nella telemedicina, dove si necessita di una protezione elevata. Questo sistema rende illeggibili i dati, che sono svelabili solo con una chiave di decriptazione, e ciò ne favorisce la segretezza e l’integrità.   

L’accesso ai dati sensibili è limitato solo al personale autorizzato, che può accedervi dai dispositivi del laboratorio o dell’ente di ricerca, entrambi collegati ad un indirizzo IP e ad un’intranet. I ricercatori conservano su una piattaforma i dati strettamente necessari al loro ambito di ricerca. Inoltre, possono emettere referti tramite una piattaforma dedicata e attraverso un’ulteriore piattaforma comunicare con altri ospedali o enti di ricerca. La stratificazione e i vari livelli di protezione garantiscono la privacy del paziente nella ricerca e disincentivano manomissioni, intrusioni e usi impropri.  

Per evitare la re-identificazione del paziente in caso di violazione, esistono varie tecniche di anonimizzazione dei pazienti, come la generalizzazione e il raggruppamento dei dati solo per aree geografiche o fasce d’età o l’eliminazione di attributi specifici utili all’identificazione. Un altro elemento di protezione è la pseudonimizzazione, che consiste nel sostituire gli elementi identificativi del paziente con altri non direttamente collegabili alla sua identità; in alternativa, è possibile identificarli con numeri o codici. 

Anche con le tecniche più sofisticate, però, esiste sempre il rischio che i dati possano essere ricondotti a un individuo specifico, soprattutto se combinati con altre fonti di informazioni. Una controindicazione di queste metodologie è la limitazione dell’utilizzo, che rischia di far perdere informazioni utili alla ricerca e allo sviluppo tecnologico stesso. Le barriere legali che esistono per la limitazione dei dati in ambito sanitario servono per tutelare la privacy dei pazienti, ma spesso le aziende produttrici di sistemi sanitari digitali richiedono l’accesso ai dati per ricercare e creare soluzioni innovative e personalizzate senza ostacoli. È fondamentale bilanciare la privacy con l’utilità del dato per la ricerca, valutando gli impatti di ogni tecnica di anonimizzazione e gli eventuali rischi di re-identificazione. 

Inoltre, un altro aspetto da sottolineare è che se da una parte i dati sanitari necessitano di una particolare riservatezza, dall’altra vige il diritto di condivisione per forza maggiore: la sanità pubblica. Come ha dimostrato la pandemia, i cittadini hanno il diritto di conoscenza riguardo ad una malattia trasmissibile per poter prendere misure precauzionali. La diffusione di tali informazioni deve essere ovviamente limitata alla prevenzione.

L’Intelligenza artificiale per migliorare la sanità 

Sia nella ricerca scientifica che nel nuovo settore della telemedicina, l’intelligenza artificiale si sta impiegando per vari usi che possono migliorare l’efficienza del lavoro. Non solo, gli strumenti di IA possono anche essere sfruttati per la protezione dei dati, attraverso processi di anonimizzazione automatica e per rilevare e prevenire minacce informatiche. Per una più efficace protezione si potrebbero registrare i dati su blockchain, assicurando la sicurezza anche nella condivisione tra vari enti del settore sanitario. 

I vantaggi che un ampio impiego delle tecnologie di IA comporta sono innumerevoli. Ad esempio, i software sono capaci di estrarre informazioni utili dai dati dei pazienti in modo mirato, migliorandone l’assistenza e la cura. Anche nella diagnostica, le tecniche di machine learning stanno mostrando particolari risultati, perché questi software sono in grado di analizzare in modo più accurato di un essere umano un’immagine medica, identificandone le malattie in modo più celere e preciso.
Un altro utilizzo che sta proliferando in tutto il mondo è la chirurgia robotica: i robot chirurgici assistiti da IA garantiscono una precisione maggiore e interventi meno invasivi. L’IA può cambiare anche la relazione tra medico e paziente attraverso un controllo costante da parte del medico e garantire una partecipazione più attiva del paziente: un esempio sono i dispositivi sanitari indossabili, che monitorano costantemente i parametri vitali dei pazienti, consentendo un intervento tempestivo in caso di necessità e assistenza virtuale con chatbot e assistenti vocali. Diagnosi più accurate, prevenzione e monitoraggio continuo possono migliorare la qualità delle cure, riducendo gli errori. L’intelligenza artificiale, integrata con la telemedicina, può favorire l’accessibilità alle cure a persone che vivono in aree remote o con disabilità

È da tenere sempre in conto, però, che questo avanzamento ha un prezzo e richiede misure di sicurezza sempre più robuste, per non parlare dei costi effettivi di tali strumenti e delle problematiche etiche che vengono sollevate, tra cui la questione della responsabilità. Chi è responsabile in caso di errori dell’algoritmo? Inoltre, gli algoritmi possono contenere dei bias cognitivi, sia sociali che culturali, che possono risultare in discriminazioni.

L’impatto dell’IA sulla privacy

Per quanto riguarda la gestione dei dati, invece, esistono già due strumenti digitali che hanno rivoluzionato il modo in cui vengono gestiti i dati sanitari: il Fascicolo Sanitario Elettronico (FSE) e la Cartella Clinica Elettronica (CCE). Il primo contiene tutti i dati e documenti sanitari di un paziente, comprese le terapie, mentre la cartella clinica elettronica registra tutte le visite e documenta accuratamente l’attività clinica e si va ad integrare al primo strumento. Tutta questa mole di dati ipersensibili deve essere gestita in modo appropriato, come disciplina il GDPR. Infatti, il Regolamento chiarisce che è il paziente ad essere in controllo dei suoi dati e per questo deve esprimere il suo consenso su ogni loro utilizzo, consenso che dev’essere richiesto in modo trasparente.  

Nonostante i grandi benefici che l’intelligenza artificiale può apportare alla ricerca scientifica e ai servizi sanitari, la questione relativa ai dati non è per nulla secondaria, soprattutto se pensiamo alla fase dell’addestramento. Come sappiamo, i software di intelligenza artificiale richiedono grandissime quantità di dati per apprendere ed essere altamente performanti. Nel settore sanitario, ciò diventa ancora più problematico, perché l’utilizzo di dati sensibili per addestrare gli algoritmi comporta vari rischi per la privacy. In questo caso, la protezione deve essere massima perché, anche se i dati sono anonimizzati, spesso ci sono elementi che fanno risalire all’identità del paziente. C’è da dire poi che deve essere chiarito il consenso del paziente per tali finalità. Gli algoritmi dei sistemi di intelligenza artificiale non sono trasparenti nemmeno al proprio programmatore: di conseguenza, è indispensabile sviluppare algoritmi più trasparenti per poter avere un maggior controllo sui dati di cui dispongono. 

Conclusioni

La pandemia ha costretto ad incentivare alcune pratiche di telemedicina, accresciute ulteriormente in seguito al massiccio impiego dell’intelligenza artificiale in ogni ambito. Questo connubio tra tecnologia e medicina ha però svelato le criticità legate ai dati ipersensibili. Nel nostro ambito nazionale, vi sono anche da considerare le diversità interregionali: la sanità territoriale è infatti regolamentata in modo indipendente perché di competenza regionale, e questo può contribuire alla disparità che intercorrono anche a livello di digital gap. In quest’ottica, i LEA (i livelli essenziali di assistenza) devono essere adeguati in base ai nuovi sviluppi informatici per evitare divari e disparità. Bisogna lavorare per garantire la conformità, prima sul piano nazionale e poi sul piano internazionale: solo così le nuove infrastrutture tecnologiche potranno apportare reali benefici alla sanità pubblica.
La sicurezza e la continuità del lavoro sono essenziali per andare avanti senza lasciarci nulla indietro. Molte ASL registrano i dati su cloud per avere una condivisione e uno stoccaggio più sicuro ed efficiente, ma non tutti i sistemi funzionano a dovere e soprattutto, in caso di attacchi hacker, come è già accaduto nel nostro paese, il sistema sanitario viene mandato in tilt e bloccato per diversi giorni. Un altro punto su cui bisogna ancora lavorare è la resilienza dei sistemi digitali in ambito sanitario, perché non c’è nulla di agevole se si lavora in un sistema vulnerabile. 

La sanità digitale e tutte le sue applicazioni sono un potenziale unico per lo sviluppo della sanità nazionale e a livello globale: rendere le cure più efficienti e tempestive migliorerà anche la società. Minimizzare i rischi informatici, riducendo i margini di errori, favorendo la trasparenza degli algoritmi, ma soprattutto promuovendo la sicurezza dei dati sanitari dei pazienti, è una partita decisiva per lo sviluppo e il progresso di questa innovazione.  

CORSO ACCREDITATO SU LEGAL TECH ACADEMY

Data Protection

Il termine Data Protection identifica quella serie di operazioni volte a preservare la sicurezza delle informazioni di un’organizzazione e dei suoi membri. Il corso permette di acquisire competenze su come tutelarsi contro fenomeni lesivi come la compromissione, la perdita o la diffusione illecita di dati personali e come intervenire in caso di incidenti.

SCOPRI IL CORSO SU LEGAL TECH ACADEMY

Hai un articolo nel cassetto? Legal Tech Magazine è sempre alla ricerca di nuove voci attraverso cui raccontare l’evoluzione del settore. Puoi sottoporci la tua proposta attraverso il seguente form: avremo cura di leggerla e di valutarne la pubblicazione.

SCRIVI PER NOI

Non solo un Magazine, ma anche una Mappa, un Forum, un Report e un’Academy. Se ti interessano i progetti di Legal Tech Italy e desideri ricevere aggiornamenti sulle sue iniziative presenti e future, iscriviti alla newsletter e non perderti nessuna novità.

SEGUICI